В Google Docs обнаружено еще три ошибки

Специалист в области компьютерной безопасности обнаружил в онлайн-сервисе Google Docs три уязвимости, которые могут привести к распространению конфиденциальной информации. Представители компании Google уверяют, что эти ошибки не угрожают сохранности пользовательских данных.

Служба Google Docs представляет собой офисный пакет онлайн-приложений, инструмент для работы с документами и электронными таблицами. Пользователи могут работать с ним совершенно бесплатно, а для предприятий существует коммерческое предложение – Google Apps с расширенным набором функций.

По словам Аде Барка (Ade Barkah), основателя канадской консультационной компании BlueWax, одна из обнаруженных ошибок позволяет получить доступ к изображениям в документе даже после того, как он был удален или доступ к нему был закрыт. Все, что для этого потребуется – лишь URL-адрес необходимого файла. "Когда вы открываете для кого-либо доступ к документу, содержащему изображения, этот человек, понятное дело, сможет просмотреть их. Но когда вы вставляете изображение в защищенный документ, вы предполагаете, что оно также будет защищено, – в конечном итоге это может привести к утечке конфиденциальной информации", – сообщает Аде Барка.

Вторая ошибка позволяет пользователям просматривать все версии измененного изображения. Например, если владелец файла частично редактирует его и выкладывает в открытый доступ, то путем изменения URL-адреса можно получить доступ и к предыдущим его модификациям. Google Docs сохраняет диаграммы в формате PNG. Когда диаграмма изменяется, система создает новый файл, но старые версии сохраняются, и каждая из них имеет уникальный адрес. Заменив в URL-адресе номер версии, можно просмотреть предыдущие модификации диаграммы.

О третьей ошибке известно лишь, что она позволяет человеку, получившему когда-то права доступа к документам, пользоваться ими и после того, как владелец закроет для него доступ. Специалисты Google были оповещены об этих ошибках еще 18 марта, но через неделю члены команды, отвечающей за безопасность, сообщили, что не видят никакой угрозы сохранности пользовательских данных.

В начале марта Google пришлось признать, что ошибка в системе Google Docs привела к тому, что документы пользователей, когда-то публиковавших свои файлы, попали в открытый доступ, но, по заявлению компании, этот инцидент затронул менее, чем 0,5% документов. Это не помешало Информационному центру защиты электронной частной информации (EPIC) обратиться в Федеральную торговую комиссию США с просьбой запретить Google использовать службы, которые сохраняют информацию частного характера, до того момента, пока компания не обеспечит ее сохранность.